M-am așezat la birou și am observat un email de la Celsius Network. Zilele acestea mail-urile lor au scopul de a anunța cum progresează planul de scăpare de la catastrofă. Însă subiectul de azi a fost diferit, dar în niciun caz o veste bună.
“Information regarding recent notification of compromised email addresses by Customer.io”
Din fericire nu mă număr printre cei care nu-și mai pot retrage criptomonedele de la ei. Însă dacă adresa mea de email e compromisă și ajunge pe mâinile nepotrivite, e o veste proastă. Prin simplul fapt că sunt clientul unei companii crypto, pot deveni o țintă pentru rău-făcători.
În cel mai fericit caz, sunt din România și nu-și bate nimeni capul să încerce să mă păcălească. Poate o să am parte de mai mult spam și va trebui să fiu ceva mai vigilent pe ce link-uri dau click. În cel mai rău caz, o să oprească o dubă în fața blocului și doi ciudați cu ciorapi pe față și săbii amenințătoare mă vor tortura până le cedez accesul la criptomonede.
Am dat click pe email și l-am citit în grabă. Cică platforma asta, customer.io, a suferit un atac iar adresele de email ale unor clienți Celsius și a altor câteva companii au fost accesate ilegal. Atac e mult spus, a fost cineva din interiorul companiei. Mai rău de atât, adresele de email au fost vândute la terți.
“To state clearly, Celsius’ systems and security had not been involved or impacted.”
Wtf? Adresele de email au fost făcute publice și vândute cine știe unde. Iar Celsius cică, securitatea nu le-a fost afectată. Desigur, securitatea lor nu, dar cum rămâne cu siguranța clienților? Cum rămâne cu spam-ul, atacurile de phishing și riscurile la care sunt eu expus acum?
Citeam fiecare rând și eram din ce în ce mai stupefiat. În mesaj era și un link roz către adresa de email [email protected] pe care am dat click imediat. I-am întrebat dacă adresa mea de email a fost compromisă sau nu. Nu mă aștept să primesc răspuns. Îmi asum ce e mai rău. E vina mea că am folosit adresa de mail personală și nu una special creată pentru astfel de conturi.
Mă simțeam îngrozit de modul în care comunicau acest dezastru. Nu mai zic că acest incident a avut loc luna trecută. Iar eu, precum și ceilalți clienți, am fost înștiințați abia acum. Probabil că până acum se chinuiau să tragă câte o gură de aer între procesele legale în care sunt implicați.
Am deschis un nou tab și m-am dus pe Reddit, să văd ce reacții au și alții. Eram sigur că majoritatea sunt la fel de îngroziți ca și mine. Și pe bună dreptate, Celsius a minimizat impactul acestui incident într-un mod foarte grețos. Ca un pedofil care face cadou acadele. Nu e vina lor, securitatea nu le-a fost afectată.
A treia cea mai populară conversație era exact despre acest subiect. Bineînțeles, sub topicu-rile mai importante legate de falimentul companiei. Sute de oameni deja își vărsau amarul. Unii înjurau, alții erau în faza de acceptare a dezastrului. Am lăsat și eu un comentariu în care mi-am exprimat oroarea modului în care și-au minimizat responsabilitatea. Apoi am observat încă alte două conversații pe același subiect, ceva mai puțin intense.
Deși a trebuit să citesc prea multe mesaje și să dau scroll de prea multe ori ca să ajung la un mesaj constructiv, mă bucur că l-am găsit.
Userul cryptoripto123 a evidențiat perfect cum acest dezastru putea fi evitat de către client. Adică de mine, de tine și oricine folosește internetul pentru a face investiții.
Security practices with crypto:
1. Use a dedicated email address for crypto.
2. Consider email addresses aren’t private. By now your main email address has been leaked 100 times over.
3. If you’re using your main email from Celsius, it’s likely you’re already getting spam even before Celsius leaked anything. This is only confirmation bias that new spam is because of Celsius. The only way to test if it’s actually form Celsius is if you followed #1 and used a dedicated email for Celsius (let me guess 99.9% of people did not do that).
4. Risk is pretty low in general if you followed #1 and moreover used a unique email for Celsius.
Hopefully everyone here practices good digital security practices including using a password manager and unique, randomly generated passwords.
După ce am pățit-o cu cei de la Ledger, care au comis-o într-un mod similar și am fost bombardat de spam, am început să implementez exact aceste reguli.
Folosesc o adresă de email separată pentru conturile mele crypto. Nu este publică nicăieri, nu o folosesc ca să trimit mesaje, e stric pentru conturile de investiții. Dacă primesc emailuri de investiți sau notificări de la companii crypto la o altă adresă decât cea dedicată, știu că e spam sau un atac de fraudă.
Un alt lucru important este autentificarea în 2 pași (2FA). Da, e frustrant să îmi deblochez telefonul, să caut codul, să tastez acele 6 cifre nenorocite de fiecare dată când accesez câte un cont. Dar mai bine asa decât sa-mi dispară toate investițiile peste noapte.
1. Creează-ți o adresă de email separată pentru conturile tale unde ții bani sau investiții valoroase.
2. Instalează-ți un manager de parole atât pe telefon, cât și pe calculator. Bitwarden e o alegere bună.
3. Generează o parolă unică pentru fiecare cont în parte și stochează-le în manager-ul de parole.
4. Nu dă click pe linkuri suspecte, mai ales dacă îți sunt solicitate date personale.
Nu păți ca mine,
Cată
PS: Lasă-mi un comentariu mai jos și spune-mi ce o să faci chiar astăzi ca să-ți îmbunătățești securitatea investițiilor tale.
